下载下载第 4章 虚 拟 L A N
随着网络用户的增加,网络管理日益成为一种挑战,所以,V L A N(虚拟局域网)具有流行交换机的特点并不奇怪。 V L A N可以减轻网络工程师的工作负担。 V L A N还可以允许网络管理员取消过去的物理限制,并对用户的第 3层网络地址进行控制,而不管它处在网络中的哪个位置。
V L A N的其他优势包括加强网络的安全性能、易于控制广播和能够分布通信量。 C i s c o
C a t a l y s t交换机能够完成很多功能来加强和简化 V L A N的实现。
中继线( t r u n k i n g)的使用允许 V L A N跨接由小型的或大型区域分开的多个交换机。 C i s c o
也在它的许多路由产品中实施了中继特性,使得我们可以设计许多有益而有趣的网络。
4.1 VLAN定义
V L A N可以定义为“广播域”,V L A N即是广播域。第 1章中,我们知道,广播域是第 3层的网络。交换机可以定义一个 V L A N,交换机的端口便成为 V L A N中的成员。例如,在图 4 - 1
中,交换机的端口定义了两个 V L A N,即会计( A c c o u n t i n g)和管理( M a n a g e m a n t) 。
图 4-1 在 Catalyst 1900上的两个 VLAN
图中,端口 1到端口 1 3分配给会计 V L A N,端口 1 3至端口 2 4分配给管理 V L A N。由于交换机不允许广播在 V L A N之间传送,所以交换机相当于对图中的网络进行了逻辑分段(图 4 - 2) 。
如果工作站 A发送一个广播,在会计 V L A N上的所有工作站都接收到这个广播。但交换机不会将广播发送至管理 V L A N上的任何一个端口。实际上,交换机不会从一个 V L A N向另外一个的 V L A N发送帧,除非它是一个多层交换机,这种交换机在本书的后面将加以讨论。现在,
有人也许还在考虑第 1章中所说的“路由器是唯一的能够对网络进行逻辑分段的设备” 。从理论会计 VLAN 管理 VLAN
上说,这种观点是不正确的,因为交换机也能够对网络进行逻辑分段,但在实际应用中,只使用交换机而不使用路由器对网络进行逻辑分段是非常可笑的,因为这种配置事实上不会允许信息在 V L A N之间通过。所以这是一种不可靠的情况,而且也是一种讨论起来没有意义的情形。
图 4-2 广播限制在一个 VLAN的所有端口上在会计 V L A N中的工作站将与管理 V L A N中的用户处在完全不同的广播域中,所以就存在两个完全不同的 I P子网,I P X网络和 A p p l e a l k电缆范围。图 4 - 3中,分配给会计 V L A N的 I P地址是 1 7 2,1 6,1 0,0 / 2 4,I P X网络号为 1 0,A p p l e t a l k电缆范围为 1 0 - 1 0。分配给管理 V L A N的 I P子网地址为 1 7 2,1 6,2 0,0 / 2 4,I P X网络号为 2 0,A p p l e t a l k电缆范围为 2 0 - 2 0。在这种情况下,一个
V L A N的通信量将对另外一个 V L A N不会产生影响,而不管它在网络中的物理位置。
图 4-3 分配给 IP子网,IPX网络和 Appletalk电缆范围第 4章 虚 拟 LAN 59下载会计 VLAN 管理 VLAN
会计 VLAN
IP 子网 172.16.10.0/24
IPX 网络 10
Apple Talk电缆范围 10-10
管理 VLAN
IP 子网 172.16.20.0/24
IPX 网络 20
Apple Talk电缆范围 20-20
C i s c o的 V L A N实现为端口中心式。与节点相连的端口将定义它所驻留的 V L A N。怎样将端口分配给 V L A N取决于 Cisco Catalyst交换机。将端口分配给 V L A N的方式有两种,分别是静态的和动态的。
4.2 静态 VLAN
形成静态 V L A N过程是将端口强制性地分配给 V L A N的过程。工程师一般按照自己的喜好来确定哪些端口属于哪些特定的 V L A N,然后将 V L A N静态映射到端口。例如,在图 4 - 1中,
将会计 V L A N定义为与端口 1至端口 1 2相连接的任何节点。工程师还将输入一些合适的命令,
这些命令有可能来自称为 S N M P管理工作站的交换机的 C L I(命令行接口),也有可能来自将端口 1至端口 1 2分配给会计 V L A N的软件管理工具 C W S I( C i s c o Work Switched Internetworks) 。
这种方法非常耗时,因为工程师们只能对将端口映射到合适的 V L A N所必须的命令进行手工输入。不过,这是将端口映射到 V L A N的一种最通用的方法。
4.3 动态 VLAN
动态的 V L A N形成很简单,由端口自己决定它属于哪个 V L A N时,就形成了动态的 V L A N。
不过,这不是 Te r m i n a t o r,也不是变成非小说文学的 The Forbin Project,它是一个简单的映射,
这个映射取决于工程师创建的数据库。分配给动态 V L A N的端口被激活后,交换机就缓存初始帧的源 M A C地址(见图 4 - 4) 。
随后,交换机便向一个称为 VMPS ( V L A N管理策略服务器)的外部服务器发出请求,
V M P S中包含一个文本文件,文件中存有进行 V L A N映射的 M A C地址。交换机对这个文件进行下载,然后对文件中的 M A C地址进行校验。如果在文件列表中找到 M A C地址,交换机就将端口分配给列表中的 V L A N。如果列表中没有 M A C地址,交换机就将端口分配给默认的
V L A N(假设已经定义默认了 V L A N) 。如果在列表中没有 M A C地址,而且也没有定义默认的
V L A N,端口不会被激活。这是维护网络安全一种非常好的的方法。
从表面上看,动态 V L A N的优势很大,但它也有致命的缺点,即创建数据库是一项非常艰苦而且非常繁琐的工作。如果网络上有数千个工作站,则有大量的输入工作要做。即使有人能胜任这项工作,也还会出现与动态的 V L A N有关的很多问题。另外,保持数据库为最新也是要随时进行的非常费时的工作。在第 6章中将对动态的 V L A N做进一步讨论。
4.4 中继前面我们已经知道,单个交换机可以定义 V L A N,那么多个交换机是怎样扩展 V L A N的呢?举个例子,图 4 - 5给出了第 1层和第 2层楼上属于会计部门和管理部门的一部分节点。这两层楼的节点怎样才能属于同一个 V L A N呢?
图中,我们可以将两个交换机之间的物理连接分配给会计 V L A N,但这会限制楼层之间的通信。在交换机之间还可以形成另外一个连接,而且可以将这个连接放置在管理 V L A N中,
但这种做法花费很大,特别是存在两个以上的 V L A N时。中继允许多个 V L A N的信息通过同一个物理连接。例如,如果图 4 - 5中的两个交换机之间的连接做成一个中继连接,那么两个
V L A N都可以通过同一个物理连接进行通信。这个过程通常由一个标记完成。通过中继线进行传输的帧都将用 VLAN ID进行标记。 C a t a l y s t交换机通过一个唯一的数字对每个 V L A N进行
60 Cisco Catalyst 局域网交换技术 下载第 4章 虚 拟 LAN 61
源 MAC 地址与端口 1/1 连接端口 1/1 应分配至哪个 VLAN
VLAN
地址地址地址地址名字会计名字管理名字工程名字
VMPS 被要求下载数据库并检查源 MAC 地址第一个帧的源 MAC 地址被缓存端口将分配给管理 VLAN
源 MAC 地址地址 名字会计名字管理名字工程名字地址地址地址图 4-4 将源 MAC地址映射到管理 VLAN
第一层楼第二层楼 会计用户 管理用户图 4-5 会计用户和管理用户下载识别。如果分配给会计 V L A N的 V L A N号为 1 0 0,那么,在中继线上进行传输的与会计 V L A N
有关的所有帧都将使用 VLAN 100进行标记(见图 4 - 6) 。
图 4-6 中继标记当第 2层楼的交换机收到中继线上的帧时,它读取标记,然后便得知帧是发往会计 V L A N
帧。另外,广播也将通过中继线进行传输。这一点是非常重要的,因为 V L A N也是一个广播域。由于广播能够在适当的 V L A N中继线上传播,广播域也可以通过交换机扩展。交换机通过读取来自中继线的帧上的标记,就可以将广播保留在适当的 V L A N中。
图 4 - 7给出了一个由 6层楼组成的网络,用户分散在所有的 6层楼上。由于实现了中继,所以,所有的会计用户都可以放置在同一个广播域中或同一个 VLAN 中。
图中,任一会计节点与一个 V L A N 1 0 0端口进行连接,而不管这个节点位于哪个楼层。这样,所有的会计用户就可以处在同一个 I P子网、同一个 I P X网络或同一个 A p p l e t a l k的电缆范围中。图 4 - 7中,我们还注意到,通过使用 V L A N,服务器不但可以定位到一起,而且仍然能够保持在它们各自的用户广播域中。
如果有必要,所有 V L A N的通信都将经过中继线进行传输,这样可以确保其他的 V L A N通过整个网络保持连通,如图 4 - 8所示。
在这个网络中,所有的工作站将按照部门来进行逻辑地址的分配,而不管它所处的物理位置如何。在选择中继前,工程师要想从网络的物理配置中分离出逻辑寻址模式是非常困难的。
62 Cisco Catalyst 局域网交换技术 下载数据帧数据帧会计用户 管理用户中继线数据帧图 4-7 会计 VLAN
4.5 快速以太网和千兆以太网上的中继在网络中,几乎 C a t a l y s t交换机能够支持的任何介质都可以作为中继线。其中,在快速以太网和千兆以太网上实现中继可使用下面两种类型的标记:
1) Inter-Switch 连接。
2) IEEE 802.1Q。
I S L( I n t e r-Switch Link,交换机间通信)标记是 C i s c o特有的一种标记,它主要使用在快速以太网的中继线上。 IEEE 802.1Q标记是一种标准的标记,某些(但不是所有的) C i s c o
C a t a l y s t交换机线路卡可以支持它。中继可以通过线路模块上的 A S I C( a p p l i c a t i o n - s p e c i f i c
integrated circuit,专用的集成电路)来实现,所以,线路模块应该包含所必须的 A S I C。由于第 4章 虚 拟 LAN 63下载会计用户
VLAN 100
IP 子网 172.16.100.0/24
IPX 网络 AA100
Appletalk 电缆范围 100-104
中继线中继取决于硬件,所以,对 C a t a l y s t的软件进行更新并不能使中继进行更新。在不是所有的交换机都是 Cisco Catalyst交换机的场合,使用 IEEE 802.1Q标记。
4.5.1 ISL
主要由 Cisco Catalyst 交换机构成的网络环境中的快速以太网和千兆以太网的中继线中,
64 Cisco Catalyst 局域网交换技术 下载中继线通常使用 I S L标记。图 4 - 9给出了 I S L标记的字段分析。
在这个报头中,最重要的字段是 V L A N字段。它用来标识包含封装帧的 V L A N。需要注意的是,非 C i s c o的设备不能读取 I S L标记。
第 4章 虚 拟 LAN 65下载
4.5.2 IEEE 802.1Q
在 1 9 9 8的下半年,I E E E还在进行最后的 IEEE 802.1 Q标准的草案设计,这时,制定标记格式的工作已经全部完成了。 IEEE 802.1 Q和 I S L不一样,它的格式取决于使用它的介质 。例如,I S L一般只适应快速以太网和千兆以太网,而 8 0 2,1 Q几乎适应所有的不同介质,其中包括 F D D I和令牌环。
以太网的标记形式列在图 4 - 1 0中。
66 Cisco Catalyst 局域网交换技术 下载
IEEE 802.1Q的标记报头将随使用介质的 b a s i s发生变化。按草定的 IEEE 802.1Q标准,标记实际上嵌在源 M A C地址和目标 M A C地址后。由于这个标记要比 C i s c o的 I S L小,所以将出现稍低的开销。 C i s c o通常将这种中继封装的方法称为,d o t 1 q”,IEEE 802.1Q标记格式需要
Catalyst IOS 4.1。
4.6 中继和 FDDI
随着中继在 F D D I上的实现,C i s c o可以使用一种不同形式的标记。在这种情况下,C i s c o
第 4章 虚 拟 LAN 67下载使用 IEEE 802.1Q的 S I L S(共用 L A N / M A N安全的 L A N / M A N标准)的帧报头作为一种标记,
在通过被配置成中继线的 F D D I环发送帧时使用。在 1 9 9 2年末,为了维护网络的安全,C i s c o
研制了 8 0 2,1 0标准,但是这个标准很少使用。 C i s c o使用 8 0 2,1 0报头的 S A I D( s e c u r i t y
association identifer,安全关联标识符)字段作为它的 V L A N标识符,如图 4 - 11所示。
8 0 2,1 0标准需要两种报头,即清除报头和保护报头。其中保护报头是一种加密的报头。
源 M A C地址既可以放在保护报头中,也可以放置在清除报头中。目标节点将清除报头中的
M A C地址与保护报头的 M A C地址进行核对。如果它发现两个地址不一样,就将帧丢弃,并作出数据被修改的假设。当 C i s c o实行 8 0 2,1 0标准时,只有 L S A P和 S A I D字段是必要的,这样可以节省开销。
4.7 ATM和中继在 AT M中,可以通过使用一种标准的 L A N E( L A N仿真) AT M过程来实现中继。不过在实现中继时,添加标记方法与快速以太网和 F D D I中所讨论的方法不一样。其实,L A N E是一个很难理解的和很难实现的过程,它将在第 1 0章中加以讨论。
4.8 VLAN和生成树协议当利用多个 V L A N形成大型的网络时,S T P(生成树协议)的随机性这一特点通常使网络形成一些并不适宜的拓扑结构。例如,在图 4 - 1 2中,网络上存在两个 V L A N。以粗线表示的生
68 Cisco Catalyst 局域网交换技术 下载会计用户 会计服务器根网桥管理服务器 管理用户转发路径阻塞路径图 4-12 不适宜的生成树结构成树路径就形成了一个不适宜的网络环境。
在这种情形下,会计用户为了与会计服务器进行通信,就必须经过根网桥,同样,管理用户为了将信息传到管理服务器,也必须通过根网桥。解决的办法是使会计服务器的交换机成为根网桥。这样会确保会计用户与会计服务器进行通信时有一个更加直接路径(见图
4 - 1 3) 。
图 4-13 会计用户,有直接路径;管理用户有非直接路径但是,管理用户与管理服务器进行连接的路径仍然是间接的。 C i s c o可以在每个 V L A N上都实现 S T P,这样就允许生成不同的基于 V L A N的转发路径。由于每个 V L A N上的 S T P相互独立,
所以,会计 V L A N可以将会计服务器交换机作为它的根网桥,反之,管理 V L A N也可以将管理服务器交换机作为它的根网桥。图 4 - 1 4为管理服务器作为根网桥的转发路径。
通常,转发的通信量属于哪个 V L A N,它所遵循的转发路径就由哪个 V L A N决定。如,会计 V L A N的通信量遵循图 4 - 1 3中所示的路径发送,而管理 V L A N的通信量遵循图 4 - 1 4所示的路径发送。需要注意的是两个不同路径的过程是同时进行的,如图 4 - 1 5所示。
当然,管理 V L A N中的通信量发送所遵循的路径与会计 V L A N中所遵循的路径不一样。
第 4章 虚 拟 LAN 69下载会计用户会计服务器根网桥管理用户管理服务器转发路径阻塞路径图 4-14 管理服务器的交换机是管理 VLAN的根网桥图 4-15 会计和 VLAN转发路径
70 Cisco Catalyst 局域网交换技术会计服务器会计用户根网桥管理服务器转发路径阻塞路径管理用户
Accounting Server
会计根网桥管理根网桥管理用户管理服务器管理 STP 会计 STP
转发路径 转发路径阻塞路径 阻塞路径下载
4.9 路由器和 VLAN
在前面曾提到,如果没有路由器,进行 V L A N间通信是不可能的。路由器可以看作是两个广播域或 V L A N之间的一个网关。每个 V L A N中的接口都可以和交换机连接,如图 4 - 1 6所示。
图 4-16 VLAN上的独立接口图 4-17 图 4-1中所示网络的逻辑配置在这种情况下,工作站将通过路由器发送任何互连网络通信量。路由器的接口通常意识第 4章 虚 拟 LAN 71下载
IP 地址 172.16.100.1/24
IPX网络 AA 100
Appletalk 电缆范围 100-104
IP 地址 172.16.101.1/24
IPX网络 AA 101
Appletalk 电缆范围 105-109
会计 VLAN
VLAN 100
IP 子网 172.16.100.0/24
IPX 网络 AA100
Appletalk 电缆范围 100-104
管理用户
VLAN 101
IP 子网 172.16.101.0/24
IPX 网络 AA101
Appletalk 电缆范围 105-109
IP 地址 172.16.100.1/24
IPX网络 AA 100
Appletalk 电缆范围 100-104
IP 地址 172.16.101.1/24
IPX网络 AA 101
Appletalk 电缆范围 105-109
会计 VLAN
VLAN 100
IP子网 172.16.100.0/24
IPX 网络 AA100
Appletalk 电缆范围 100-104
管理用户
VLAN 101
IP子网 172.16.101.0/24
IPX 网络 AA101
Appletalk 电缆范围 105-109
不到它们和同一个交换机相连。它们只能监测到在网络中存在两个广播域或两个 I P子网,I P X
网络和 A p p l e t a l k电缆范围。图 4 - 1 7中所示的路由器的配置与图 4 - 1 6中的路由器的配置完全相同。路由器只能对逻辑环境进行监测。
4.10 路由器中继从图 4 - 1 6中可以看出,为了进行路由,每个 V L A N都需要使用一个路由器接口 。所以,
如果有 1 0 0个 V L A N,就需要 1 0 0个路由器接口。很明显,这种配置有点昂贵。由于 C i s c o路由器可以配置成中继线,所以它可以通过一个路由器接口对多个 V L A N进行路由。它所使用的介质决定供应商的兼容性。 C i s c o路由器是唯一能够支持 I S L的路由器。而且 C i s c o路由器也支持 IEEE 802.1Q,IEEE 802.10中继方式和 AT M的 L A N E( L A N仿真) 。
例如,在图 4 - 1 8中,路由器配置成中继线,这样可以通过同一个接口进行会计和管理
V L A N通信量的传送。
图 4-18 中继到一个路由器这种配置通常称为“棍子上的路由器( router on stick),,有时还被人们亲切地称为“单臂路由” 。这种类型配置的优点是可以使用单一接口为多个 V L A N进行路由。其缺点是存在着接口不能提供足够的带宽来充分地处理 V L A N间通信量的可能性。可以通过使用以太网的子接口来对路由器进行配置,这部分内容将在第 8章中详细讨论。
4.11 服务器中继在理想情况下,对于拥有如电子邮件服务等全局服务的服务器,如果想为每个 V L A N提供服务,那么,这个服务器就必须成为这些 V L A N的成员。如果全局服务器只存在于单一的
V L A N中,那么其他 V L A N必须将它们的通信量路由到全局服务器所在的 V L A N。这种情况的
72 Cisco Catalyst 局域网交换技术 下载
IP 地址 172.16.100.1/24
IPX 网络 AA 100
Appletalk 电缆范围 100-104
IP 地址 172.16.101.1/24
IPX 网络 AA101
Appletalk 电缆范围 105-109
中继线会计 VLAN
VLAN 100
IP 子网 172.16.100.0/24
IPX 网络 AA100
Appletalk 电缆范围 100-104
管理 VLAN
VLAN 101
IP子网 172.16.101.0/24
IPX 网络 AA101
Appletalk 电缆范围 105-109
出现将产生等待时间。
在图 4 - 1 9中,如果邮件服务器只存在于管理 V L A N中,那么,会计用户将不得不通过中继线将通信量传送至路由器,路由器通过带有管理 V L A N标记的中继线将通信量传回。这加重第 4章 虚 拟 LAN 73
图 4-19 路径通信量将从管理 VLAN送至邮件服务器会计 VLAN
会计 VLAN
管理用户管理用户中继线帧件服务器图 4-20 配置邮件服务器以进行中继下载路由器的工作负担,而且使本来就超载的中继线增加通信量。
C i s c o已经特许某些 N I C供应商,如 I n t e l和 S u n制造支持 I S L的 N I C。这使服务器能读取帧的标记,也允许服务器可以通过单一的线路与多个 V L A N进行连接。在图 4 - 2 0中,服务器中装有一个能实现 I S L的 N I C,中继可以在交换机端口上实现。现在,会计用户和管理用户都可与服务器进行直接连接。
能实现 I S L的 N I C驱动程序允许为每个与它进行连接的 V L A N生成一个第 3层地址。如果服务器将要与 1 0 0个 V L A N连接,那么它将需要 1 0 0个第 3层地址。使用能实现 I S L的适配器时,
预先计划是非常重要的。
4.12 小结
V L A N是由交换机端口定义的广播域。交换机可以控制广播,但不允许广播在两个广播域中进行传播。为了使广播能在 V L A N之间进行传播,必须使用路由器。 Cisco Catalyst交换机定义 V L A N时使用的方法为端口中心式,也就是说端口将定义 V L A N。将端口分配给 V L A N的方法有两种:
1 ) 静态方法(即将端口强制性地分配给 V L A N) 。
2) 动态方法(即端口基于源 M A C地址自动将它自己分配给 V L A N) 。
通过一个连接传送多个 V L A N通信量的方法称为中继。所有能够支持 C a t a l y s t交换机的主要介质都能支持中继。中继可以通过在帧上加标记的方法来完成,其中,帧从带有 VLAN ID
的中继端口发出。标记的格式取决于其所使用介质,如下表所示:
介 质 标 记 格 式快速以太网 I S L或 IEEE 802.1Q
千兆以太网 I S L或 IEEE 802.1Q
F D D I IEEE 802.10
ATM L A N仿真( L A N E)
考虑到多个基于 V L A N的桥接拓扑结构,C i s c o在每个 V L A N上都装有生成树协议。
可以通过建立 C i s c o路由器和能实现 I S L的服务器之间的连接来建立中继线。
4.13 练习题
1) 由前面的论述可知,V L A N可以看作是广播域,而且可以由交换机定义。不过,既然交换机能形成较多的广播域,即形成较多的逻辑网段,那么在网络上为什么还需要设置路由器呢?
2) 描述 V L A N的优点。
3) 描述 C i s c o的 V L A N的实现过程。以端口为中心这一词的意思是什么?静态的 V L A N和动态的 V L A N有什么区别?
4) 什么是中继端口,它是怎样工作的?
5) 列出支持中继的各种介质以及各种介质中使用的标记格式(提示:参阅小结) 。
6 ) 为什么一个单位会选择在 C i s c o的交换机间链路上使用 IEEE 802.1Q?
7) Cisco以唯一的方式实现 S T P的优点是什么?
8) 请解释“棍子上的路由器” 。
9) 能实现 I S L的 N I C优点是什么?
74 Cisco Catalyst 局域网交换技术 下载
随着网络用户的增加,网络管理日益成为一种挑战,所以,V L A N(虚拟局域网)具有流行交换机的特点并不奇怪。 V L A N可以减轻网络工程师的工作负担。 V L A N还可以允许网络管理员取消过去的物理限制,并对用户的第 3层网络地址进行控制,而不管它处在网络中的哪个位置。
V L A N的其他优势包括加强网络的安全性能、易于控制广播和能够分布通信量。 C i s c o
C a t a l y s t交换机能够完成很多功能来加强和简化 V L A N的实现。
中继线( t r u n k i n g)的使用允许 V L A N跨接由小型的或大型区域分开的多个交换机。 C i s c o
也在它的许多路由产品中实施了中继特性,使得我们可以设计许多有益而有趣的网络。
4.1 VLAN定义
V L A N可以定义为“广播域”,V L A N即是广播域。第 1章中,我们知道,广播域是第 3层的网络。交换机可以定义一个 V L A N,交换机的端口便成为 V L A N中的成员。例如,在图 4 - 1
中,交换机的端口定义了两个 V L A N,即会计( A c c o u n t i n g)和管理( M a n a g e m a n t) 。
图 4-1 在 Catalyst 1900上的两个 VLAN
图中,端口 1到端口 1 3分配给会计 V L A N,端口 1 3至端口 2 4分配给管理 V L A N。由于交换机不允许广播在 V L A N之间传送,所以交换机相当于对图中的网络进行了逻辑分段(图 4 - 2) 。
如果工作站 A发送一个广播,在会计 V L A N上的所有工作站都接收到这个广播。但交换机不会将广播发送至管理 V L A N上的任何一个端口。实际上,交换机不会从一个 V L A N向另外一个的 V L A N发送帧,除非它是一个多层交换机,这种交换机在本书的后面将加以讨论。现在,
有人也许还在考虑第 1章中所说的“路由器是唯一的能够对网络进行逻辑分段的设备” 。从理论会计 VLAN 管理 VLAN
上说,这种观点是不正确的,因为交换机也能够对网络进行逻辑分段,但在实际应用中,只使用交换机而不使用路由器对网络进行逻辑分段是非常可笑的,因为这种配置事实上不会允许信息在 V L A N之间通过。所以这是一种不可靠的情况,而且也是一种讨论起来没有意义的情形。
图 4-2 广播限制在一个 VLAN的所有端口上在会计 V L A N中的工作站将与管理 V L A N中的用户处在完全不同的广播域中,所以就存在两个完全不同的 I P子网,I P X网络和 A p p l e a l k电缆范围。图 4 - 3中,分配给会计 V L A N的 I P地址是 1 7 2,1 6,1 0,0 / 2 4,I P X网络号为 1 0,A p p l e t a l k电缆范围为 1 0 - 1 0。分配给管理 V L A N的 I P子网地址为 1 7 2,1 6,2 0,0 / 2 4,I P X网络号为 2 0,A p p l e t a l k电缆范围为 2 0 - 2 0。在这种情况下,一个
V L A N的通信量将对另外一个 V L A N不会产生影响,而不管它在网络中的物理位置。
图 4-3 分配给 IP子网,IPX网络和 Appletalk电缆范围第 4章 虚 拟 LAN 59下载会计 VLAN 管理 VLAN
会计 VLAN
IP 子网 172.16.10.0/24
IPX 网络 10
Apple Talk电缆范围 10-10
管理 VLAN
IP 子网 172.16.20.0/24
IPX 网络 20
Apple Talk电缆范围 20-20
C i s c o的 V L A N实现为端口中心式。与节点相连的端口将定义它所驻留的 V L A N。怎样将端口分配给 V L A N取决于 Cisco Catalyst交换机。将端口分配给 V L A N的方式有两种,分别是静态的和动态的。
4.2 静态 VLAN
形成静态 V L A N过程是将端口强制性地分配给 V L A N的过程。工程师一般按照自己的喜好来确定哪些端口属于哪些特定的 V L A N,然后将 V L A N静态映射到端口。例如,在图 4 - 1中,
将会计 V L A N定义为与端口 1至端口 1 2相连接的任何节点。工程师还将输入一些合适的命令,
这些命令有可能来自称为 S N M P管理工作站的交换机的 C L I(命令行接口),也有可能来自将端口 1至端口 1 2分配给会计 V L A N的软件管理工具 C W S I( C i s c o Work Switched Internetworks) 。
这种方法非常耗时,因为工程师们只能对将端口映射到合适的 V L A N所必须的命令进行手工输入。不过,这是将端口映射到 V L A N的一种最通用的方法。
4.3 动态 VLAN
动态的 V L A N形成很简单,由端口自己决定它属于哪个 V L A N时,就形成了动态的 V L A N。
不过,这不是 Te r m i n a t o r,也不是变成非小说文学的 The Forbin Project,它是一个简单的映射,
这个映射取决于工程师创建的数据库。分配给动态 V L A N的端口被激活后,交换机就缓存初始帧的源 M A C地址(见图 4 - 4) 。
随后,交换机便向一个称为 VMPS ( V L A N管理策略服务器)的外部服务器发出请求,
V M P S中包含一个文本文件,文件中存有进行 V L A N映射的 M A C地址。交换机对这个文件进行下载,然后对文件中的 M A C地址进行校验。如果在文件列表中找到 M A C地址,交换机就将端口分配给列表中的 V L A N。如果列表中没有 M A C地址,交换机就将端口分配给默认的
V L A N(假设已经定义默认了 V L A N) 。如果在列表中没有 M A C地址,而且也没有定义默认的
V L A N,端口不会被激活。这是维护网络安全一种非常好的的方法。
从表面上看,动态 V L A N的优势很大,但它也有致命的缺点,即创建数据库是一项非常艰苦而且非常繁琐的工作。如果网络上有数千个工作站,则有大量的输入工作要做。即使有人能胜任这项工作,也还会出现与动态的 V L A N有关的很多问题。另外,保持数据库为最新也是要随时进行的非常费时的工作。在第 6章中将对动态的 V L A N做进一步讨论。
4.4 中继前面我们已经知道,单个交换机可以定义 V L A N,那么多个交换机是怎样扩展 V L A N的呢?举个例子,图 4 - 5给出了第 1层和第 2层楼上属于会计部门和管理部门的一部分节点。这两层楼的节点怎样才能属于同一个 V L A N呢?
图中,我们可以将两个交换机之间的物理连接分配给会计 V L A N,但这会限制楼层之间的通信。在交换机之间还可以形成另外一个连接,而且可以将这个连接放置在管理 V L A N中,
但这种做法花费很大,特别是存在两个以上的 V L A N时。中继允许多个 V L A N的信息通过同一个物理连接。例如,如果图 4 - 5中的两个交换机之间的连接做成一个中继连接,那么两个
V L A N都可以通过同一个物理连接进行通信。这个过程通常由一个标记完成。通过中继线进行传输的帧都将用 VLAN ID进行标记。 C a t a l y s t交换机通过一个唯一的数字对每个 V L A N进行
60 Cisco Catalyst 局域网交换技术 下载第 4章 虚 拟 LAN 61
源 MAC 地址与端口 1/1 连接端口 1/1 应分配至哪个 VLAN
VLAN
地址地址地址地址名字会计名字管理名字工程名字
VMPS 被要求下载数据库并检查源 MAC 地址第一个帧的源 MAC 地址被缓存端口将分配给管理 VLAN
源 MAC 地址地址 名字会计名字管理名字工程名字地址地址地址图 4-4 将源 MAC地址映射到管理 VLAN
第一层楼第二层楼 会计用户 管理用户图 4-5 会计用户和管理用户下载识别。如果分配给会计 V L A N的 V L A N号为 1 0 0,那么,在中继线上进行传输的与会计 V L A N
有关的所有帧都将使用 VLAN 100进行标记(见图 4 - 6) 。
图 4-6 中继标记当第 2层楼的交换机收到中继线上的帧时,它读取标记,然后便得知帧是发往会计 V L A N
帧。另外,广播也将通过中继线进行传输。这一点是非常重要的,因为 V L A N也是一个广播域。由于广播能够在适当的 V L A N中继线上传播,广播域也可以通过交换机扩展。交换机通过读取来自中继线的帧上的标记,就可以将广播保留在适当的 V L A N中。
图 4 - 7给出了一个由 6层楼组成的网络,用户分散在所有的 6层楼上。由于实现了中继,所以,所有的会计用户都可以放置在同一个广播域中或同一个 VLAN 中。
图中,任一会计节点与一个 V L A N 1 0 0端口进行连接,而不管这个节点位于哪个楼层。这样,所有的会计用户就可以处在同一个 I P子网、同一个 I P X网络或同一个 A p p l e t a l k的电缆范围中。图 4 - 7中,我们还注意到,通过使用 V L A N,服务器不但可以定位到一起,而且仍然能够保持在它们各自的用户广播域中。
如果有必要,所有 V L A N的通信都将经过中继线进行传输,这样可以确保其他的 V L A N通过整个网络保持连通,如图 4 - 8所示。
在这个网络中,所有的工作站将按照部门来进行逻辑地址的分配,而不管它所处的物理位置如何。在选择中继前,工程师要想从网络的物理配置中分离出逻辑寻址模式是非常困难的。
62 Cisco Catalyst 局域网交换技术 下载数据帧数据帧会计用户 管理用户中继线数据帧图 4-7 会计 VLAN
4.5 快速以太网和千兆以太网上的中继在网络中,几乎 C a t a l y s t交换机能够支持的任何介质都可以作为中继线。其中,在快速以太网和千兆以太网上实现中继可使用下面两种类型的标记:
1) Inter-Switch 连接。
2) IEEE 802.1Q。
I S L( I n t e r-Switch Link,交换机间通信)标记是 C i s c o特有的一种标记,它主要使用在快速以太网的中继线上。 IEEE 802.1Q标记是一种标准的标记,某些(但不是所有的) C i s c o
C a t a l y s t交换机线路卡可以支持它。中继可以通过线路模块上的 A S I C( a p p l i c a t i o n - s p e c i f i c
integrated circuit,专用的集成电路)来实现,所以,线路模块应该包含所必须的 A S I C。由于第 4章 虚 拟 LAN 63下载会计用户
VLAN 100
IP 子网 172.16.100.0/24
IPX 网络 AA100
Appletalk 电缆范围 100-104
中继线中继取决于硬件,所以,对 C a t a l y s t的软件进行更新并不能使中继进行更新。在不是所有的交换机都是 Cisco Catalyst交换机的场合,使用 IEEE 802.1Q标记。
4.5.1 ISL
主要由 Cisco Catalyst 交换机构成的网络环境中的快速以太网和千兆以太网的中继线中,
64 Cisco Catalyst 局域网交换技术 下载中继线通常使用 I S L标记。图 4 - 9给出了 I S L标记的字段分析。
在这个报头中,最重要的字段是 V L A N字段。它用来标识包含封装帧的 V L A N。需要注意的是,非 C i s c o的设备不能读取 I S L标记。
第 4章 虚 拟 LAN 65下载
4.5.2 IEEE 802.1Q
在 1 9 9 8的下半年,I E E E还在进行最后的 IEEE 802.1 Q标准的草案设计,这时,制定标记格式的工作已经全部完成了。 IEEE 802.1 Q和 I S L不一样,它的格式取决于使用它的介质 。例如,I S L一般只适应快速以太网和千兆以太网,而 8 0 2,1 Q几乎适应所有的不同介质,其中包括 F D D I和令牌环。
以太网的标记形式列在图 4 - 1 0中。
66 Cisco Catalyst 局域网交换技术 下载
IEEE 802.1Q的标记报头将随使用介质的 b a s i s发生变化。按草定的 IEEE 802.1Q标准,标记实际上嵌在源 M A C地址和目标 M A C地址后。由于这个标记要比 C i s c o的 I S L小,所以将出现稍低的开销。 C i s c o通常将这种中继封装的方法称为,d o t 1 q”,IEEE 802.1Q标记格式需要
Catalyst IOS 4.1。
4.6 中继和 FDDI
随着中继在 F D D I上的实现,C i s c o可以使用一种不同形式的标记。在这种情况下,C i s c o
第 4章 虚 拟 LAN 67下载使用 IEEE 802.1Q的 S I L S(共用 L A N / M A N安全的 L A N / M A N标准)的帧报头作为一种标记,
在通过被配置成中继线的 F D D I环发送帧时使用。在 1 9 9 2年末,为了维护网络的安全,C i s c o
研制了 8 0 2,1 0标准,但是这个标准很少使用。 C i s c o使用 8 0 2,1 0报头的 S A I D( s e c u r i t y
association identifer,安全关联标识符)字段作为它的 V L A N标识符,如图 4 - 11所示。
8 0 2,1 0标准需要两种报头,即清除报头和保护报头。其中保护报头是一种加密的报头。
源 M A C地址既可以放在保护报头中,也可以放置在清除报头中。目标节点将清除报头中的
M A C地址与保护报头的 M A C地址进行核对。如果它发现两个地址不一样,就将帧丢弃,并作出数据被修改的假设。当 C i s c o实行 8 0 2,1 0标准时,只有 L S A P和 S A I D字段是必要的,这样可以节省开销。
4.7 ATM和中继在 AT M中,可以通过使用一种标准的 L A N E( L A N仿真) AT M过程来实现中继。不过在实现中继时,添加标记方法与快速以太网和 F D D I中所讨论的方法不一样。其实,L A N E是一个很难理解的和很难实现的过程,它将在第 1 0章中加以讨论。
4.8 VLAN和生成树协议当利用多个 V L A N形成大型的网络时,S T P(生成树协议)的随机性这一特点通常使网络形成一些并不适宜的拓扑结构。例如,在图 4 - 1 2中,网络上存在两个 V L A N。以粗线表示的生
68 Cisco Catalyst 局域网交换技术 下载会计用户 会计服务器根网桥管理服务器 管理用户转发路径阻塞路径图 4-12 不适宜的生成树结构成树路径就形成了一个不适宜的网络环境。
在这种情形下,会计用户为了与会计服务器进行通信,就必须经过根网桥,同样,管理用户为了将信息传到管理服务器,也必须通过根网桥。解决的办法是使会计服务器的交换机成为根网桥。这样会确保会计用户与会计服务器进行通信时有一个更加直接路径(见图
4 - 1 3) 。
图 4-13 会计用户,有直接路径;管理用户有非直接路径但是,管理用户与管理服务器进行连接的路径仍然是间接的。 C i s c o可以在每个 V L A N上都实现 S T P,这样就允许生成不同的基于 V L A N的转发路径。由于每个 V L A N上的 S T P相互独立,
所以,会计 V L A N可以将会计服务器交换机作为它的根网桥,反之,管理 V L A N也可以将管理服务器交换机作为它的根网桥。图 4 - 1 4为管理服务器作为根网桥的转发路径。
通常,转发的通信量属于哪个 V L A N,它所遵循的转发路径就由哪个 V L A N决定。如,会计 V L A N的通信量遵循图 4 - 1 3中所示的路径发送,而管理 V L A N的通信量遵循图 4 - 1 4所示的路径发送。需要注意的是两个不同路径的过程是同时进行的,如图 4 - 1 5所示。
当然,管理 V L A N中的通信量发送所遵循的路径与会计 V L A N中所遵循的路径不一样。
第 4章 虚 拟 LAN 69下载会计用户会计服务器根网桥管理用户管理服务器转发路径阻塞路径图 4-14 管理服务器的交换机是管理 VLAN的根网桥图 4-15 会计和 VLAN转发路径
70 Cisco Catalyst 局域网交换技术会计服务器会计用户根网桥管理服务器转发路径阻塞路径管理用户
Accounting Server
会计根网桥管理根网桥管理用户管理服务器管理 STP 会计 STP
转发路径 转发路径阻塞路径 阻塞路径下载
4.9 路由器和 VLAN
在前面曾提到,如果没有路由器,进行 V L A N间通信是不可能的。路由器可以看作是两个广播域或 V L A N之间的一个网关。每个 V L A N中的接口都可以和交换机连接,如图 4 - 1 6所示。
图 4-16 VLAN上的独立接口图 4-17 图 4-1中所示网络的逻辑配置在这种情况下,工作站将通过路由器发送任何互连网络通信量。路由器的接口通常意识第 4章 虚 拟 LAN 71下载
IP 地址 172.16.100.1/24
IPX网络 AA 100
Appletalk 电缆范围 100-104
IP 地址 172.16.101.1/24
IPX网络 AA 101
Appletalk 电缆范围 105-109
会计 VLAN
VLAN 100
IP 子网 172.16.100.0/24
IPX 网络 AA100
Appletalk 电缆范围 100-104
管理用户
VLAN 101
IP 子网 172.16.101.0/24
IPX 网络 AA101
Appletalk 电缆范围 105-109
IP 地址 172.16.100.1/24
IPX网络 AA 100
Appletalk 电缆范围 100-104
IP 地址 172.16.101.1/24
IPX网络 AA 101
Appletalk 电缆范围 105-109
会计 VLAN
VLAN 100
IP子网 172.16.100.0/24
IPX 网络 AA100
Appletalk 电缆范围 100-104
管理用户
VLAN 101
IP子网 172.16.101.0/24
IPX 网络 AA101
Appletalk 电缆范围 105-109
不到它们和同一个交换机相连。它们只能监测到在网络中存在两个广播域或两个 I P子网,I P X
网络和 A p p l e t a l k电缆范围。图 4 - 1 7中所示的路由器的配置与图 4 - 1 6中的路由器的配置完全相同。路由器只能对逻辑环境进行监测。
4.10 路由器中继从图 4 - 1 6中可以看出,为了进行路由,每个 V L A N都需要使用一个路由器接口 。所以,
如果有 1 0 0个 V L A N,就需要 1 0 0个路由器接口。很明显,这种配置有点昂贵。由于 C i s c o路由器可以配置成中继线,所以它可以通过一个路由器接口对多个 V L A N进行路由。它所使用的介质决定供应商的兼容性。 C i s c o路由器是唯一能够支持 I S L的路由器。而且 C i s c o路由器也支持 IEEE 802.1Q,IEEE 802.10中继方式和 AT M的 L A N E( L A N仿真) 。
例如,在图 4 - 1 8中,路由器配置成中继线,这样可以通过同一个接口进行会计和管理
V L A N通信量的传送。
图 4-18 中继到一个路由器这种配置通常称为“棍子上的路由器( router on stick),,有时还被人们亲切地称为“单臂路由” 。这种类型配置的优点是可以使用单一接口为多个 V L A N进行路由。其缺点是存在着接口不能提供足够的带宽来充分地处理 V L A N间通信量的可能性。可以通过使用以太网的子接口来对路由器进行配置,这部分内容将在第 8章中详细讨论。
4.11 服务器中继在理想情况下,对于拥有如电子邮件服务等全局服务的服务器,如果想为每个 V L A N提供服务,那么,这个服务器就必须成为这些 V L A N的成员。如果全局服务器只存在于单一的
V L A N中,那么其他 V L A N必须将它们的通信量路由到全局服务器所在的 V L A N。这种情况的
72 Cisco Catalyst 局域网交换技术 下载
IP 地址 172.16.100.1/24
IPX 网络 AA 100
Appletalk 电缆范围 100-104
IP 地址 172.16.101.1/24
IPX 网络 AA101
Appletalk 电缆范围 105-109
中继线会计 VLAN
VLAN 100
IP 子网 172.16.100.0/24
IPX 网络 AA100
Appletalk 电缆范围 100-104
管理 VLAN
VLAN 101
IP子网 172.16.101.0/24
IPX 网络 AA101
Appletalk 电缆范围 105-109
出现将产生等待时间。
在图 4 - 1 9中,如果邮件服务器只存在于管理 V L A N中,那么,会计用户将不得不通过中继线将通信量传送至路由器,路由器通过带有管理 V L A N标记的中继线将通信量传回。这加重第 4章 虚 拟 LAN 73
图 4-19 路径通信量将从管理 VLAN送至邮件服务器会计 VLAN
会计 VLAN
管理用户管理用户中继线帧件服务器图 4-20 配置邮件服务器以进行中继下载路由器的工作负担,而且使本来就超载的中继线增加通信量。
C i s c o已经特许某些 N I C供应商,如 I n t e l和 S u n制造支持 I S L的 N I C。这使服务器能读取帧的标记,也允许服务器可以通过单一的线路与多个 V L A N进行连接。在图 4 - 2 0中,服务器中装有一个能实现 I S L的 N I C,中继可以在交换机端口上实现。现在,会计用户和管理用户都可与服务器进行直接连接。
能实现 I S L的 N I C驱动程序允许为每个与它进行连接的 V L A N生成一个第 3层地址。如果服务器将要与 1 0 0个 V L A N连接,那么它将需要 1 0 0个第 3层地址。使用能实现 I S L的适配器时,
预先计划是非常重要的。
4.12 小结
V L A N是由交换机端口定义的广播域。交换机可以控制广播,但不允许广播在两个广播域中进行传播。为了使广播能在 V L A N之间进行传播,必须使用路由器。 Cisco Catalyst交换机定义 V L A N时使用的方法为端口中心式,也就是说端口将定义 V L A N。将端口分配给 V L A N的方法有两种:
1 ) 静态方法(即将端口强制性地分配给 V L A N) 。
2) 动态方法(即端口基于源 M A C地址自动将它自己分配给 V L A N) 。
通过一个连接传送多个 V L A N通信量的方法称为中继。所有能够支持 C a t a l y s t交换机的主要介质都能支持中继。中继可以通过在帧上加标记的方法来完成,其中,帧从带有 VLAN ID
的中继端口发出。标记的格式取决于其所使用介质,如下表所示:
介 质 标 记 格 式快速以太网 I S L或 IEEE 802.1Q
千兆以太网 I S L或 IEEE 802.1Q
F D D I IEEE 802.10
ATM L A N仿真( L A N E)
考虑到多个基于 V L A N的桥接拓扑结构,C i s c o在每个 V L A N上都装有生成树协议。
可以通过建立 C i s c o路由器和能实现 I S L的服务器之间的连接来建立中继线。
4.13 练习题
1) 由前面的论述可知,V L A N可以看作是广播域,而且可以由交换机定义。不过,既然交换机能形成较多的广播域,即形成较多的逻辑网段,那么在网络上为什么还需要设置路由器呢?
2) 描述 V L A N的优点。
3) 描述 C i s c o的 V L A N的实现过程。以端口为中心这一词的意思是什么?静态的 V L A N和动态的 V L A N有什么区别?
4) 什么是中继端口,它是怎样工作的?
5) 列出支持中继的各种介质以及各种介质中使用的标记格式(提示:参阅小结) 。
6 ) 为什么一个单位会选择在 C i s c o的交换机间链路上使用 IEEE 802.1Q?
7) Cisco以唯一的方式实现 S T P的优点是什么?
8) 请解释“棍子上的路由器” 。
9) 能实现 I S L的 N I C优点是什么?
74 Cisco Catalyst 局域网交换技术 下载